使用 CLI 为远程认证服务配置轻量级目录访问协议 (LDAP)

可以使用命令行界面 (CLI) 配置系统,以向实施轻量级目录访问协议 (LDAP) 的服务器(包括 Active Directory (AD))认证用户。

  • 已供应的 LDAP 服务器上具有 IBMRBS 许可权“管理者访问权”或“管理者角色”的用户可以管理员身份登录到系统,但不能运行 setlocale 命令。
  • 所有认证命令和设置都已禁用。
系统 GUI LDAP 页面上的所有选项都已禁用。
Tip: 如果超级用户正在使用远程轻量级目录访问协议(LDAP 服务器),那么将无法认证该超级用户。 但是,可通过这种方式认证其他用户。

要启用使用 LDAP 进行用户认证,请遵循以下步骤:

  1. 通过输入 chldap 命令以配置 LDAP。
    该命令将提供 Tivoli Directory Server 和 AD 的缺省设置。 例如,要配置为使用 Tivoli Directory Server 模式缺省值和传输层安全性 (TLS) 进行认证,请输入以下命令:
    chldap -type itds -security tls
    LDAP 配置可以使用 lsldap 命令进行检查。
    Note: 使用 TLS 以加密所传送的密码。
  2. 指定 mkldapserver 命令,以最多定义六台 LDAP 服务器用于认证。
    可以配置多台服务器来提供对不同用户组的访问,或用于冗余。 所有服务器都必须共享使用 chldap 配置的设置。 例如,要为 LDAP 服务器配置安全套接字层 (SSL) 证书以及位于 cn=users,dc=company,dc=com 子树中的用户,请输入以下命令:
    mkldapserver -ip 9.71.45.108 -basedn cn=users,dc=company,dc=com -sslcert /tmp/sslcert.pem

    此外,还可以配置哪些服务器首选用于认证用户。

    指定 lsldapserver 以获取 LDAP 服务器配置信息。 指定 chldapserverrmldapserver 可更改已配置的 LDAP 服务器。

  3. 通过匹配由认证服务使用的用户组来配置系统上的用户组。
    对于认证服务已知的每个期望的组,必须用相同的名称创建系统用户组,并且必须已启用远程设置。 例如,如果名为 sysadmins 的组的成员需要系统管理员 (admin) 角色,请输入以下命令:
    mkusergrp -name sysadmins -remote -role Administrator

    如果没有任何用户组与系统用户组匹配,那么该用户无法访问系统。

  4. 使用 testldapserver 命令验证 LDAP 配置。
    要测试与 LDAP 服务器的连接,请输入不带任何选项的命令。 可以为用户名提供或不提供密码,以测试是否有配置错误。 要针对每台服务器尝试处理完全认证,请输入以下命令:
    testldapserver -username username -password password
  5. 输入以下命令以启用 LDAP 认证:
    chauthservice -type ldap -enable yes
  6. 配置不需要 Secure Shell (SSH) 密钥访问的用户。
    删除必须使用远程认证服务并且不需要 SSH 密钥访问的系统用户。
    Remember: superuser 无法被删除,也不能使用远程认证服务。
  7. 配置需要 SSH 密钥访问的用户。

    所有使用远程认证服务并需要 SSH 密钥访问的系统用户都必须已启用远程设置,并且已在系统上配置了有效的 SSH 密钥。